kk Blog —— 通用基础


date [-d @int|str] [+%s|"+%F %T"]
netstat -ltunp
sar -n DEV 1

LD_PRELOAD环境变量

在Linux的动态链接库的世界中,LD_PRELOAD就是这样一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入恶意程序,从而达到那不可告人的罪恶的目的。

我们知道,Linux的用的都是glibc,有一个叫libc.so.6的文件,这是几乎所有Linux下命令的动态链接中,其中有标准C的各种函数。对于GCC而言,默认情况下,所编译的程序中对标准C函数的链接,都是通过动态链接方式来链接libc.so.6这个函数库的。

OK。还是让我用一个例子来看一下用LD_PRELOAD来hack别人的程序。

示例一

我们写下面一段例程:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

/* 文件名:verifypasswd.c */
/* 这是一段判断用户口令的程序,其中使用到了标准C函数strcmp*/
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv)
{
	char passwd[] = "password";
	if (argc < 2) {
		printf("usage: %s <password>/n", argv[0]);
		return 1;
	}
	if (!strcmp(passwd, argv[1])) {
		printf("Correct Password!/n");
		return 1;
	}
	printf("Invalid Password!/n");
	return 0;
}

在上面这段程序中,我们使用了strcmp函数来判断两个字符串是否相等。下面,我们使用一个动态函数库来重载strcmp函数:

1
2
3
4
5
6
7
8
9
10

/* 文件名:hack.c */
#include <stdio.h>

#include <string.h>
int strcmp(const char *s1, const char *s2)
{
	printf("hack function invoked. s1=<%s> s2=<%s>/n", s1, s2);
	/* 永远返回0,表示两个字符串相等 */
	return 0;
}

编译程序:

1
2

$ gcc -o verifypasswd verifypasswd.c
$ gcc -shared -o hack.so hack.c

测试一下程序:(得到正确结果)

1
2

$ ./verifypasswd asdf
Invalid Password!
设置LD_PRELOAD变量:

(使我们重写过的strcmp函数的hack.so成为优先载入链接库)

1

$ export LD_PRELOAD="./hack.so"

再次运行程序:

1
2
3

$ ./verifypasswd  asdf
hack function invoked. s1=<password> s2=<asdf>
Correct Password!

我们可以看到,
1)我们的hack.so中的strcmp被调用了。
2)主程序中运行结果被影响了。
如果这是一个系统登录程序,那么这也就意味着我们用任意口令都可以进入系统了。

Thunderbird

Mozilla Thunderbird 最小化附加组建

在工具->附加组建中
1、搜索minimize,安装firetray
2、firetray 首选项->邮件->邮件通知类型 选第二个:显示新邮件图示
不想最小化到托盘: firetray 首选项->视窗 去掉第二个勾选

Mozilla Thunderbird 导入导出邮件

一种Mozilla Thunderbird的扩展ImportExportTools。
https://addons.mozilla.org/zh-CN/thunderbird/addon/importexporttools/

安装流程 (本地安装)
1
2
3
4
5

1 进入Mozilla Thunderbird
2 点击菜单栏的“工具”->“附加软件”
3 从附加组件搜索框旁边的选项按钮中,选择“从文件安装附加组件...”选项
4 选择本地文件(ImportExportTools-X.X.xpi)位置 安装
5 安装完成 重启Mozilla Thunderbird
如何用呢
1
2
3
4
5

1 进入Mozilla Thunderbird
2 右键“收件箱”
3 “导入/导出”
4 “汇出此资料夹所以的邮件” 进行选择格式
5 汇出完成 查看本地文件夹

如何知道文件被那个进程写

一个文件正在被进程写 我想查看这个进程 文件一直在增大 找不到谁在写 使用lsof也没找到

这个问题挺有普遍性的,解决方法应该很多,这里我给大家提个比较直观的方法。

linux下每个文件都会在某个块设备上存放,当然也都有相应的inode, 那么透过vfs.write我们就可以知道谁在不停的写入特定的设备上的inode。

幸运的是systemtap的安装包里带了inodewatch.stp,位于/usr/local/share/doc/systemtap/examples/io目录下,就是用来这个用途的。

我们来看下代码:

$ cat inodewatch.stp

1
2
3
4
5
6
7
8
9
10

#! /usr/bin/env stap
 
probe vfs.write, vfs.read
{
	# dev and ino are defined by vfs.write and vfs.read
	if (dev == MKDEV($1,$2) # major/minor device
		&& ino == $3)
	printf ("%s(%d) %s 0x%x/%u\n",
		execname(), pid(), probefunc(), dev, ino)
}

这个脚本的使用方法如下: stap inodewatch.stp major minor ino

下面我们构造个场景: dd不停的写入一个文件,查出这个文件的ino, 以及它所在设备的major, minor, 运行stap脚本就可以得到答案。

场景交代好了,我们来演示下:

1
2
3
4
5
6
7
8
9
10
11
12
13

$ pwd
/home/chuba
$ df
Filesystem           1K-blocks      Used Available Use% Mounted on
...
/dev/sdb1            1621245336 825209568 713681236  54% /home
...
$ ls -al /dev/sdb1
brw-rw---- 1 root disk 8, 17 Oct 24 11:22 /dev/sdb1 
$ rm -f test.dat && dd if=/dev/zero of=test.dat
^C9912890+0 records in
9912890+0 records out
5075399680 bytes (5.1 GB) copied, 26.8189 s, 189 MB/s

这个终端模拟文件的不停写入,同时在另外一个终端查验谁干的。这里我们已经知道设备的major/minor为8/17

1
2
3
4
5
6
7
8
9
10

$ stat -c '%i' test.dat
25337884
$ sudo stap /usr/local/share/doc/systemtap/examples/io/inodewatch.stp 8 17 25337884
dd(740) vfs_write 0x800011/25337884
dd(740) vfs_write 0x800011/25337884
dd(740) vfs_write 0x800011/25337884
dd(740) vfs_write 0x800011/25337884
dd(740) vfs_write 0x800011/25337884
dd(740) vfs_write 0x800011/25337884
...

看到了吧,dd是罪魁祸首,pid是740